瞻博网络:将SDN与信息安全融合起来

我们在SDN方面遵循的一个主要原则是，尽量更好地利用现有的网络架构和网络设施。也就是说，在现有的网络架构上，更好地利用已有的协议和已有的能力，安全地使用SDN功能，而不是对现有的网络架构进行更换或者进行升级。这是我们设计SDN时重要的考量因素。

——瞻博网络亚太区高级技术副总裁Andy Miller

在下一代数据中心体系架构下，网络攻击方式发生了很大的变化。视频、移动、云等越来越多的新应用需求让网络管理人员面临着前所未有的重压，而很多企业对此还没有相应的解决方案。

“在过去的两年内，全球有73%的公司曾经遭受过黑客通过Web应用程序发起的网络攻击，其中有53%的公司遭受过针对其数据中心的外部攻击。60%的信息安全从业人员认为，目前的新一代防火墙和IP信誉体系只能解决部分网络安全威胁。”在近日由中国计算机报社举办的第十四届中国信息安全大会上，瞻博网络（Juniper Network）亚太区高级技术副总裁Andy Miller表示，不断发展的软件定义网络（简称SDN）在弥补传统网络的缺陷、满足更多用户新需求的同时，也给网络的信息安全带来更多新的挑战和新的市场机会。

蜜罐：收集可疑行为的完整信息

面对愈演愈烈的网络攻击，很多网络管理人员束手无策。因为要想阻止这些攻击，仅仅检测到攻击的存在已经远远不够，他们还必须掌握攻击者实时、准确的信息，并将这些信息整合到核心网络安全控制之中，方可采取应对措施。

近日，瞻博网络推出专门用于保护数据中心环境的新一代安全产品，以及Junos Spotlight Secure（全球攻击者情报服务）。Andy将Junos Spotlight Secure 形象地称为“蜜罐”。“其实我们采用的是一种入侵诱骗技术。我们将‘蜜罐’安放到所有攻击者可能出没的地方，并根据分析出来的异常信息锁定黑客的攻击行为。当他们对企业的网络发动攻击时，我们并不会立刻采取阻击行动，而是将他们的行为封闭在‘蜜罐’中，让他们继续活动，以便记录各种攻击行为的完整信息。”

据悉，这是目前业界唯一基于云的全球攻击者情报服务，它能在设备层面上识别单个攻击者，并在一个全球性的数据库中进行跟踪。与当前仅依靠IP地址识别攻击者的信誉体系相比，Junos Spotlight Secure能为客户提供有关攻击者更详细的安全情报，并能极大地减少误报。基于超过200个独特的属性，该解决方案将为攻击者创建一个持久的指纹图谱，实现在不阻止合法用户的同时精确阻断攻击者。一旦攻击者被识别并在使用Junos WebApp Secure的用户网络中留下了指纹图谱，数据库将立即与其他用户共享该攻击者的信息，并在多个网络中实时提供先进的安全措施。

瞻博网络推出的Junos WebApp Secure 和 SRX Series Services Gateways（SRX系列服务网关）都是使用了“蜜罐”的安全产品。Junos WebApp Secure部署在防火墙与应用服务器之间，能集成来自“蜜罐”的情报资源。通过与 Junos WebApp Secure集成，瞻博网络 SRX 系列服务网关能在安全范围内阻止已被识别的网络攻击，并对阻止僵尸网络和大型网络攻击有特殊的效果。

目前，瞻博网络的信息安全解决方案已被纳入到整体的安全服务链中。这种做法将有助于更多信息在网络层之间实现共享，并能将其作为SDN服务链的一部分，以帮助客户快速部署安全服务。

SDN与信息安全自动连接

从2012年开始，SDN逐渐成为炙手可热的概念。Andy认为，SDN是根据客户的需求演进而来，它并不是网络厂商忽悠用户的营销说辞，而确确实实将成为一个长久的发展趋势。

在近期的SDN白皮书中，瞻博网络总结出SDN的六大特点：

1.将网络软件清晰地划分为四个层次：管理、服务、控制和转发——提供支撑架构来实现网络内每一层的优化；

2.将管理、服务和控制软件的相应部分集中起来，以简化网络设计并可降低运营成本；

3.使用云来实现灵活的扩展和部署，推动基于使用的定价机制，以便更快地提供服务，并将成本与价值关联起来；

4.在管理系统中创建一个网络应用、服务和集成的平台，以实施新的业务解决方案；

5.推动协议标准化，以支持多个供应商异构技术之间的互操作性，从而为用户提供更多选择并降低成本；

6. 将SDN原则广泛应用于包括安全在内的所有网络和网络服务中——从数据中心、企业园区到服务供应商使用的移动和有线网络。

瞻博网络还将SDN的落地过程归纳为四个步骤：第一步，将网络管理、分析、和设置功能集中起来，以便总体设置所有的网络设备；第二步，建立业务虚拟机（VM），将网络和安全业务从底层硬件中抽取出来；第三步，采用集中化控制器，将网络内的多重网络和安全服务设备串联起来；第四步，优化网络使用和安全硬件，以实现更高性能。

“我认为我们需要SDN的首要原因是，客户需要系统架构拥有更强的灵活性，需要我们能够十分快速地部署网络的安全策略。” Andy举例说，如果要在虚拟存储器或者网络上安装一个设备，其实过程非常简单，但是要完整地配置整个网络环境，则一般是非常漫长和困难的。如果利用SDN在虚拟网络上进行工作，则可以极大地提高配置系统的速度。此外，在大数据的应用、设备和数据的移动性等方面，SDN也有着天然的优势。

当大家谈起SDN的时候，很多人误认为SDN只跟数据中心有关系，其实，SDN跟整个流程以及整个网络都是相关的，包括网络软硬件、相关的服务、云的应用等。面对如此庞大的系统架构，安全性的考量必不可少。

如何才能把SDN和安全连接起来呢？Andy表示，“我们希望通过自动的方式把它们连接起来。通过SDN的控制器和SDN技术，以及一个集中式的全球网络推送命令来自动实现。我们要给予SDN全方位的安全保护。未来，无论客户应用什么样的网络，我们都必须保证其外部和内部都是安全的。”

不必担心硬件的未来

自从1996年成立以来，硬件系统、芯片设计、网络架构等方面就一直是瞻博网络的核心竞争力。同时，瞻博网络也是网络编程的倡导者，而这正是SDN概念的基础。早在SDN这一词汇出现之前的很长时间里，瞻博网络在交付网络产品时，就已经开始通过软件来灵活地为客户进行按需配置。

Andy自信地认为：“由于具有自己设计芯片的能力，我们在未来的安全市场中处于一个独特的地位。”既有硬件，又有软件，是瞻博网络销售规模迅速扩大的重要原因之一。但是，在SDN的趋势下，瞻博网络所具有的硬件优势还有价值吗？

对此，Andy给出了肯定的答案：“对于SDN的未来，我们充满信心，因为越来越多的应用将通过软件来实现，但这并不是说硬件未来就没有价值了。在网络的以太网层，对网络硬件的需求还是非常大。并且从网络架构的技术安全性角度来看，最终还是需要虚拟化的存储器、路由器、防火墙等硬件产品。对于瞻博网络而言，未来我们必然还会有广阔的天地来发挥我们的硬件技术优势。”